Journal Le nouveau jeu de Microsoft : Questions pour un Neuneu

Posté par ɹǝıʌıʃO le 20 mai 2009 à 20:03.

Étiquettes : aucune

mai

2009

Cher journal, tu connais le principe : en même temps qu'un mot de passe, on te demande de choisir une question et de donner la réponse. Ainsi, à la prochaine crise d'amnésie, pas de problème : on te demande le nom de ton animal préféré, tu réponds "Tux", et tu récupères un mot de passe.

Pas de problème, sauf un : les questions sont trop faciles… ou trop difficiles. Des chercheurs de Microsoft Research et de Carnegie Mellon ont publié une étude, portant sur les principaux fournisseurs d'émaux gratuits (Hotmail compris), montrant qu'un inconnu devine la réponse dans 17% des cas et que 20% des utilisateurs oublient leur propre réponse après six mois. De plus, une attaque automatisée, donnant les 5 réponses les plus fréquentes, a marché dans 13% des cas.

Ces résultats étaient prévisibles au vu de deux précédentes études datant de 1990 et 1996, ce qui témoigne d'un certain manque d'innovation dans le domaine. Le problème est pourtant réel, comme en témoigne le piratage du compte Yahoo! Mail de Sarah Palin.

Alors, que faire ? L'article propose des pistes, comme ne pas autoriser trop d'essais, surtout si ce sont des réponses fréquentes. À noter que, bizarrement, laisser les gens choisir leur propre question ne marche pas, car ils prennent souvent des questions trop faciles, dont la réponse est facile à trouver (nom de jeune fille de la mère…) ou ne laisse que peu de possibilités (marque de soda préférée…).

Certains utilisateurs ont d'ores et déjà décidé de contourner le système. Par exemple, à la question "Quel est le prénom de votre femme ?", ils donnent une réponse ridicule, comme "Gkopsnbépoèvdljzw". Dans cette étude, le résultat est que 13% des personnes ne retrouvaient plus leur (fausse) réponse, c'est ballot.

Sur ce je te laisse, cher journal. Choisis bien tes questions, dorénavant. Tiens, bonsoir Gkopsnbépoèvdljzw, ta journée s'est bien passée ? Non s'il te plaît, pas la tête…

# Vous devez entrer un sujet et un commentaire

Posté par Dr BG (site web personnel) le 20 mai 2009 à 20:33. Évalué à 10.

Certains utilisateurs ont d'ores et déjà décidé de contourner le système. Par exemple, à la question "Quel est le prénom de votre femme ?", ils donnent une réponse ridicule, comme "Gkopsnbépoèvdljzw".

Je ne donne que des réponses de ce genre, mais je ne tiens même pas à m'en souvenir. Je trouve ce genre de système tellement naze pour la sécurité… à quoi bon avoir un mot de passe dans ce cas ? Surtout qu'une personne qui nous connaît peut deviner la réponse.
- [^] # Re: Vous devez entrer un sujet et un commentaire
  
  Posté par Sylvain Sauvage le 20 mai 2009 à 21:11. Évalué à 10.
  
  En général, je choisis « quelle est votre couleur préférée ? » et je réponds « Bleu… non ! Rouge ! Aaaah ! » mais c’est le lapin carnivore après qui me pose problème…
  
  Au fait, ça vient d’où « Gkopsnbépoèvdljzw » ? Remarquerons-nous le « bépoèvdljzw » au lieu du plus courant « azertyuiop » ?
  - [^] # Re: Vous devez entrer un sujet et un commentaire
    
    Posté par ɹǝıʌıʃO le 20 mai 2009 à 21:27. Évalué à 4.
    
    Remarquerons-nous le « bépoèvdljzw » au lieu du plus courant « azertyuiop » ?
    Il y a maintenant deux semaines que j'ai mon Typematrix bépo, et je suis content car il me donne l'accès direct à des caractères comme æœ…«»àç, son confort de frappe est inégalable et, de plus, klavaro m'indique que je progresse dans mon apprentissage de la frappe à dix doigts et à l'aveugle. Je compte d'ailleurs écrire prochainement un journal à ce sujet…
    - [^] # Re: Vous devez entrer un sujet et un commentaire
      
      Posté par B16F4RV4RD1N le 21 mai 2009 à 02:24. Évalué à 6.
      
      "Quelle est votre marque de clavier préférée"...
      
      ça y est, je vais pouvoir hacker le compte linuxfr de Olivier !
      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
  - [^] # Re: Vous devez entrer un sujet et un commentaire
    
    Posté par yellowiscool le 20 mai 2009 à 21:35. Évalué à 2.
    
    Je suis fan du «auietsrn».
    Envoyé depuis mon lapin.
  - [^] # Re: Vous devez entrer un sujet et un commentaire
    
    Posté par ploum (site web personnel, Mastodon) le 21 mai 2009 à 01:43. Évalué à 3.
    
    Je suis aussi partisan de la technique dites « des 2 mains à plat sur le clavier » druie.sruieétrn.uxtsr (oui c'est un bépo).
    
    Ce genre de question fait partie de la même veine que le changement forcé de mot de passe :
    http://ploum.frimouvy.org/?177-le-gilet-de-sauvetage-et-le-t(...)
    Mes livres CC By-SA : https://ploum.net/livres.html
  - [^] # Re: Vous devez entrer un sujet et un commentaire
    
    Posté par Maclag le 21 mai 2009 à 05:38. Évalué à 4.
    
    Moi j'écris dans le champ question "quelle est la bonne question qui mène à la réponse 42?"
    Je laisse le champ réponse en blanc le temps de la trouver moi-même...
    
    --------------> [ ]
    - [^] # Re: Vous devez entrer un sujet et un commentaire
      
      Posté par Geo Vah le 21 mai 2009 à 09:41. Évalué à 5.
      
      ben six fois neuf ?
      - [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par Obsidian le 21 mai 2009 à 12:25. Évalué à 4.
        
        « M. et Mme Karembeu ont un fils » (© Djamel)
        ->[]
      - [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par Obsidian le 21 mai 2009 à 13:25. Évalué à 4.
        
        six fois neuf = quarante-deux ?
        
        La vache, c'est vrai que personne ne peut le trouver, ce mot de passe là ...
        
        [^] # 42.c
        
        Posté par Octabrain le 21 mai 2009 à 14:01. Évalué à 10.
        
        #define SIX 1 + 5
        #define NEUF 8 + 1
        
        int main(int argc, char **argv) {
        printf("%d\n", SIX * NEUF);
        return 0;
        }
        
        [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par ploum (site web personnel, Mastodon) le 21 mai 2009 à 14:07. Évalué à 1.
        
        C'est mignon quand on essaye de corriger les autres sans même savoir de quoi on parle ;-)
        Mes livres CC By-SA : https://ploum.net/livres.html
        
        [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par Obsidian le 21 mai 2009 à 22:34. Évalué à 2.
        
        La réponse, je la connaissais, comme tout le monde.
        La question, je la connaissais aussi finalement, et là, honte doublée sur moi, finalement.
        
        [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par ploum (site web personnel, Mastodon) le 21 mai 2009 à 22:38. Évalué à 2.
        
        Si tu n'as même pas l'excuse de l'ignorance, tu es à la limite du blasphème, prends garde !
        Mes livres CC By-SA : https://ploum.net/livres.html
        
        [^] # Re: Vous devez entrer un sujet et un commentaire
        
        Posté par claudex le 21 mai 2009 à 14:16. Évalué à 2.
        
        http://fr.wikipedia.org/wiki/42_(réponse)
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
  - [^] # Re: Vous devez entrer un sujet et un commentaire
    
    Posté par Bruno Adele (site web personnel) le 25 mai 2009 à 23:41. Évalué à 1.
    
    Tu rigole, mais je connais qqn qui à mis ce genre de question.
    
    Coincidence, ce même jours, j'avais crée un billet sur la faiblesse des questions secrètes http://blog.jesuislibre.org/2009/05/webmail-faille-de-securi(...)
# Même plus besoin de social engineering

Posté par LeJulien le 20 mai 2009 à 22:08. Évalué à 10.

Kél é le nom de votre fils?

Kévin.
# securite ?

Posté par s[e]th & h[o]lth (site web personnel) le 21 mai 2009 à 02:20. Évalué à 3.

Je ne pense pas que le probleme vienne de la securite, je pense tout simplement qu'il n'y a pas de probleme. Les personnes qui accordent de l'importance a ce genre de securite trouveront une solution qui leur conviennent. Quand je lis tes statistiques, je constante surtout que "dans 17% des cas" la personne qui repond ne se preocupe pas de ce genre de babiole.
Je trouve ce genre de question subsidiare tres pertinente car c'est ce qui me permet d'etre original en repondant a la question "Quel est le nom de jeune fille de votre mere ?" par "p0uRqu0i?" ou "monoprix" ou pourquoi pas "absolument".
Je ne vois pas l'interet de choisir un mot de passe complique si c'est pour repondre un truc bidon a la question d'apres...
- [^] # Re: securite ?
  
  Posté par Axioplase ıɥs∀ (site web personnel) le 21 mai 2009 à 08:14. Évalué à 3.
  
  Comme dirait Bruce Schneier (que l'auteur du journal a oublié de citer) : "à quoi bon avoir une sécurité plus faible que le mot-de-passe quand on l'a oublié".
  
  Il semblerait aussi que le compte de Sarah Palin fut "piraté" de cette manière pendant la course aux présidentielles américaines.
  - [^] # Re: securite ?
    
    Posté par ɹǝıʌıʃO le 21 mai 2009 à 08:49. Évalué à 3.
    
    Il semblerait aussi que le compte de Sarah Palin fut "piraté" de cette manière pendant la course aux présidentielles américaines.
    Vraiment ? C'est intéressant mais ça a l'air difficile à croire, quand même. Tu aurais une référence ?
    - [^] # Re: securite ?
      
      Posté par Ozz le 21 mai 2009 à 11:05. Évalué à 2.
      
      On parle de compte yahoo.
      
      http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
      
      As detailed in the postings, the Palin hack didn’t require any real skill. Instead, the hacker simply reset Palin’s password using her birthdate, ZIP code and information about where she met her spouse — the security question on her Yahoo account, which was answered (Wasilla High) by a simple Google search.
      - [^] # Re: securite ?
        
        Posté par ɹǝıʌıʃO le 21 mai 2009 à 11:09. Évalué à 2.
        
        C'est une référence qui aurait mérité de figurer dans le journal. Je vais le dire à l'auteur.
- [^] # Re: securite ?
  
  Posté par Maclag le 21 mai 2009 à 13:22. Évalué à 2.
  
  Merci pour l'info
  
  Dis au revoir à tes comptes e-mail MOUAHAHAHAHAAAA! (bon, vu qu'à l'écrit ça rend pas bien, imaginez un rire diabolique)
  
  Sinon il est bien ce journal, parce que du coup je viens de vérifier, et j'avais pas mis de question secrète sur mon compte mail. J'avais mis une adresse e-mail que je n'utilise plus... avec un mot de passe de 8 lettres qui n'a jamais changé en plus de 10 ans!
  
  Du coup j'ai un peu fait le ménage, je me sens mie... euh, non, vu qu'avant de lire le journal j'étais pas inquiet non plus...
  
  N'empêche que le jour où ça ne coûtera plus rien, je me prendrais mon serveur privé avec mon webmail accessible uniquement sur un port exotique sécurisé avec un mot de passe à rallonge.
  Ca bloquera pas les plus expérimentés, mais ça sera suffisant pour les Kevin...
  
  Vous avez lu ce commentaire jusqu'au bout, ça me fait plaisir de savoir que vous vous intéressez autant à ma vie!
  - [^] # Re: securite ?
    
    Posté par yellowiscool le 23 mai 2009 à 14:58. Évalué à 5.
    
    M'en fout, je lirais tes mails à partir d'une faille d'un site php sur ton serveur.
    Envoyé depuis mon lapin.
# Quelque fois, Security FAIL :)

Posté par octane le 21 mai 2009 à 13:53. Évalué à 3.

Ca m'a rappelé une histoire:

12:48 df: bon je peux pas payer
12:48 df: *super visa*
12:48 df: ça me demande mon plat préféré
12:48 df: LA QUESTION DE SECURITE
12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
12:48 df: j’ai aucun recours
12:48 df: mais quelle grosse merde
12:50 df: ah mon navigateur s’en souvenait :)
12:50 usa: security fail

Trouvé sur:
http://nonop.wordpress.com/2009/03/18/inscription-au-sstic/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.